Spring Security全新版本使用方式

下面是“Spring Security全新版本使用方式”的完整攻略。

一、什么是Spring Security？

Spring Security是一个开源的安全框架，为Spring应用提供了一组安全服务，用于Web应用程序和服务保护。它提供了身份验证和授权，防止攻击，保护数据等一系列安全功能。因此Spring Security成为了Java领域中常用的安全框架。

二、Spring Security全新版本使用方式

Spring Security在2.0.0版本中引入了许多新特性，改进了许多旧特性，从而使得它更加易于使用和理解。在版本2.0.0之前，Spring Security的配置需要繁琐的XML配置，而现在，我们可以使用更加简洁的Java配置。

1. 引入Spring Security

首先，需要在pom.xml文件中引入Spring Security的依赖：

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>5.3.3.RELEASE</version>
</dependency>

2. 配置SecurityConfig

然后，需要创建一个继承自WebSecurityConfigurerAdapter的SecurityConfig类。在此类中可以进行Spring Security的配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/login").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login").permitAll()
                .and()
            .logout().permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")
                .and()
                .withUser("admin").password("{noop}password").roles("ADMIN");
    }
}

其中：

1. configure(HttpSecurity http)方法用于配置HttpSecurity，即HTTP请求的安全性。antMatchers()方法用于匹配请求路径，hasRole()方法用于判断是否具备指定角色，anyRequest()方法用于匹配所有请求路径。formLogin()方法用于配置表单登录信息，loginPage()方法用于指定登录页面，logout()方法用于配置退出登录。

2. configureGlobal(AuthenticationManagerBuilder auth)方法用于配置AuthenticationManagerBuilder，即认证信息的管理器。inMemoryAuthentication()方法用于使用内存中的认证信息，withUser()方法用于创建用户，password()方法用于设置用户密码，roles()方法用于设置用户角色。

3. 配置过滤器

在配置完SecurityConfig后，还需要配置一个过滤器来使SecurityConfig生效。可以在WebMvcConfigurer中进行配置：

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Autowired
    private SecurityConfig securityConfig;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(securityConfig);
    }
}

4. 用户认证与授权

到此为止，Spring Security的基本配置已经完成。现在我们来看看如何进行用户认证与授权。

（1）用户认证

用户认证是指验证用户身份。在上面的代码中，我们已经配置了一个内存中的认证信息，可以实现用户的认证。以登录功能为例，我们可以在登录Controller中完成登录操作：

@PostMapping("/login")
public String login(@RequestParam String username, @RequestParam String password, HttpSession session) {
    try {
        Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
        SecurityContextHolder.getContext().setAuthentication(authentication);
        session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());

        return "redirect:/home";
    } catch (Exception e) {
        return "redirect:/login?error";
    }
}

其中，UsernamePasswordAuthenticationToken用于封装用户登录信息，authenticationManager用于进行认证操作，SecurityContextHolder.getContext()用于获取当前认证信息的上下文，HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY用于指定Authentication在Session中的Key。

（2）用户授权

用户授权是指授权用户可以访问哪些资源。在上述代码中，我们使用了hasRole()方法进行角色判断。以访问/admin路径为例，只有拥有ADMIN角色的用户才可以访问：

.antMatchers("/admin/**").hasRole("ADMIN")

5. 配置数据库认证

最后，我们来看看如何使用数据库进行认证。这里以使用MySQL数据库为例：

首先，需要在pom.xml文件中引入MySQL依赖：

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

然后，需要进行数据源配置，可以使用Spring Boot的配置方式：

spring.datasource.url=jdbc:mysql://localhost:3306/test
spring.datasource.username=root
spring.datasource.password=
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

最后，在SecurityConfig中进行数据库认证配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // ...
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication().dataSource(dataSource);
    }
}

其中，jdbcAuthentication()方法用于使用JDBC进行数据源认证，dataSource()方法用于指定使用的数据源。

到这里，使用Spring Security全新版本进行基本认证与授权的攻略就结束了。下面，我们来看看几个示例。

三、示例

示例一：基本认证和授权

这个示例使用最基本的内存中的认证信息，实现用户登录和基本的角色控制。具体代码请参考上述部分内容。

示例二：数据库认证

这个示例使用MySQL进行认证，通过配置数据源和对AuthenticationManagerBuilder进行配置，实现用户登录和基本的角色控制。具体代码请参考上述部分内容。

四、总结

Spring Security作为Java领域中应用最广泛的安全框架之一，使用起来非常灵活和方便，而且可以自定义配置、扩展和替换。在版本2.0.0中，Spring Security引入了许多新特性，使得使用更加方便和易于理解。本文主要介绍了使用Spring Security全新版本进行基本认证与授权的攻略，并给出了两个例子，希望能够对大家有所帮助。